ana sayfa > PHP ve MYSQL > PHP -> hayat kurtarabilecek fonksiyonlar

PHP -> hayat kurtarabilecek fonksiyonlar

Çarşamba, 29 Eki 2008

Tehlikeli bir değişkenden gelen veriyi işlemlere tabi tutmadan önce ilk olarak önce onaylanamanız ve filtrelemeniz gerekmektedir.Zira bunları yapmazsak basit yöntemlerle hacklenmek elde bile değil.
mysql_real_escape_string
Bu fonksiyon gelen veride mysql’e iş yaptırma olasılığı olan simgelerin önüne veri olarak gösterecek olan \ koyuyor.\x00, \n, \r, \, ‘, “ ve \x1a. Bu şekilde kişinin yazdığı yazı doğrudan yazı olarak veritabanına eklenmiş oluyor. mysql_real_escape_string ile sql injection u ortadan kaldırıyoruz
[php]$query=mysql_real_escape_string($_GET[kelime]);
mysql_query(“insert into arama (kelime) values (‘$query’)”);[/php]

htmlentities
Girdilerde olduğu gibi dışarıya sunulan tüm verilerin de (güvenli olarak filtreleyip veritabanına işlediğiniz verilerin dahi) filtrelenmesi gerekmektedir.

Filtrelenmesi gereken en önemli şey probleme yol açabilecek olan HTML tag’leridir. Bunu yapmanın en kolay yolu bütün HTML’i escape işlemine sokan htmlentities() fonksiyon’udur:
[php] [/php]
htmlentities ile muhtemel muhtemel XSS (cross site scripting) saldırılarını kaldırırsınız

Eğer tüm html taglarını silmek istemiyorsanız strip_tags() kullanarak bazı html taglarına izin verebilirsiniz.

, , , , ,

  1. şimdilik yorum yok.
  1. şimdilik geri bağlantı yok